오픈마켓인 G마켓의 판매자는 G마켓의 지휘 · 감독을 받아 개인정보를 처리하는 '개인정보취급자'에 해당하지 않는다는 판결이 나왔다.
서울고법 행정8-2부(재판장 조진구 부장판사)는 9월 1일 개인정보보호위원회로부터 판매자에 대한 안전한 인증수단 적용과 정기적인 교육 실시 등을 하라는 시정조치를 받은 G마켓이 "시정조치를 취소하라"며 개인정보보호위원회를 상대로 낸 소송의 항소심(2022누54360)에서 이같이 판시, 개인정보보호위원회의 항소를 기각하고, 1심과 마찬가지로 "시정조치를 취소하라"고 원고 승소 판결했다. 법무법인 광장이 1심에 이어 G마켓을 대리했다. 개인정보보호위원회는 법무법인 민후가 대리했다.
G마켓은 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고 있다. 구매자는 회원가입, 주문 · 결제 시 판매자에게 계정(ID), 성명, 전화번호, 배송지 주소 등을 제공하는 것에 대해 동의할 수 있고, G마켓은 위 '개인정보 제3자 제공' 동의에 근거하여 구매자의 개인정보를 판매자에게 제공하며, 판매자는 구매자의 개인정보를 이용하여 상품을 배송한다.
개인정보보호위원회가 G마켓이 개인정보 보호법상 '개인정보처리자'에 해당하고, 판매자는 개인정보처리자의 지휘 · 감독을 받아 개인정보를 처리하는 '개인정보취급자'에 해당한다는 전제 하에, G마켓에게 판매자에 대한 안전한 인증수단 적용과 정기적인 교육 실시 등을 할 것을 명하는 시정조치를 내리자 G마켓이 소송을 냈다.
재판부는 "이 사건 오픈마켓의 판매자가 원고의 지휘 · 감독을 받아 개인정보를 처리하는 '개인정보취급자'에 해당한다고 보기 어렵다"며 "따라서 판매자가 원고의 지휘 · 감독 대상인 개인정보취급자라는 전제에서 개인정보 보호법 제29조, 제64조 제1항, 같은 법 시행령 제48조의2 제1항 제1호, 제2호, 구 개인정보의 기술적 · 관리적 보호조치 기준(개인정보보호위원회고시, 이 사건 고시) 제3조 제2항, 제4조 제4항 등을 적용하여 시정조치를 명한 처분은 그 처분사유가 인정되지 아니하여 위법하다"고 밝혔다.
재판부는 "개인정보 보호법의 문언은 물론 피고 스스로 고시한 표준지침의 문언에 비추어 보면, '개인정보취급자'는 ①개인정보처리자의 지휘 · 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 ②임직원, 파견근로자, 시간제근로자 등(즉 ①요건과 ②요건을 모두 충족하고 있는 자)을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘 · 감독 아래 업무를 집행하는 자를 의미한다고 봄이 타당하다"고 밝혔다. 이어 "개인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 등 규정들의 내용을 체계적, 종합적으로 해석해 보면, '정보통신서비스 제공자' 및 '그로부터 이용자의 개인정보를 제공받은 자'는 모두 개인정보처리자로서 각자의 개인정보취급자에 대하여 교육 및 관리 등의 안전성 확보 조치를 이행해야 함을 의미하는 것으로 보인다"며 "따라서 판매자는 정보통신서비스 제공자인 원고로부터 이용자(구매자)의 개인정보를 제공받은 자로서 위 규정들에 따라 개인정보처리자에 해당하고, 그 자신(판매자)의 지휘 · 감독을 받는 개인정보취급자를 관리 · 감독할 의무를 부담한다고 보아야 하므로, 판매자는 원고와는 별개의 개인정보처리자"라고 밝혔다.
피고는 '판매자가 원고의 개인정보 처리시스템 내에서 원고의 구매자 개인정보 파일을 처리하는 경우, 원고로부터 해당 시스템에 대한 접근권한을 미리 부여받아 등록된 계정과 비밀번호를 입력하여야 하고 해당 시스템이 예정하고 허용하는 개인정보 처리 업무만 가능하며 허용된 기간 동안에만 시스템에 접근할 수 있는 등 원고 개인정보처리시스템의 설계코드와 정책(약관 등)을 통하여 개인정보처리자인 원고의 지휘 · 감독을 받게 된다'는 취지로 주장했다. 재판부는 그러나 "원고가 판매자에게 원고 개인정보처리시스템에 대한 접근권한을 부여하여 판매자로 하여금 구매자의 개인정보를 열람할 수 있게끔 한 것은 제3자인 판매자에게 구매자의 개인정보를 제공한 행위의 한 형태에 해당하고, 단순히 계정 및 비밀번호를 입력하게 하고 시스템 접근 가능 기간을 제한하였다고 하여 개인정보를 안전하게 관리하기 위하여 판매자를 지휘 · 감독한 것으로 보기는 어렵다"고 판단했다.
재판부는 "개인정보 보호법은 제17조 제1항에서 개인정보처리자가 '제3자'에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하고 있는 반면, 개인정보처리자의 지휘 · 감독을 받아 개인정보 처리 업무를 담당하는 개인정보취급자가 정보주체의 개인정보를 처리하는 경우에는 그것이 개인정보처리자의 당연한 업무범위 내라는 전제에서 별도의 동의를 요구하지 않고 있다고 해석함이 상당한 점 등을 고려하여 볼 때, '제3자'와 개인정보취급자는 서로 양립할 수 없는 별개의 지위라고 봄이 타당하고, 판매자가 원고 개인정보처리시스템에서 개인정보를 출력 내지 다운로드 받기 직전의 아주 일시적인 순간이라고 하더라도 개인정보를 제공받은 '제3자'의 지위와 개인정보취급자의 지위를 동시에 가진다고 볼 수는 없다"고 지적하고, "결국 판매자는 당초부터 원고로부터 개인정보를 제공받은 '제3자'였을 뿐이고 (이로 인해 독자적인 개인정보처리자의 지위를 가짐은 별론으로 한다), 이와 동시에 원고의 개인정보취급자에 해당하지는 않는다고 봄이 타당하다"고 밝혔다.
재판부는 "판매자를 원고의 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 제2 내지 5호, 이 사건 고시 제4조 제5항 등에 따라 스마트스토어 시스템에 저장되어 있는 구매자의 개인정보에 대한 불법접근 차단, 접속기록의 위조 · 변조 방지, 개인정보의 안전한 저장 · 전송을 위한 각종 조치(판매자를 개인정보취급자로 볼 경우에만 필요한 조치들 제외) 등을 취해야 할 의무를 부담하므로, 판매자를 반드시 원고의 개인정보취급자로 보아야 할 만한 정책적 필요도 크지 않다"고 덧붙였다.
리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)
